Co je to nařízení DORA
Aktualizováno: 22.10.2024
Nařízení DORA (Digital Operational Resilience Act) je klíčovým předpisem EU pro posílení digitální odolnosti finančního sektoru. Stanovuje jednotná pravidla pro řízení ICT rizik, hlášení incidentů a testování odolnosti pro širokou škálu finančních institucí.
Nařízení DORA
DORA (Digital Operational Resilience Act) je nařízení Evropské unie zaměřené na posílení digitální provozní odolnosti finančního sektoru. Bylo schváleno v prosinci 2022 a jeho hlavním cílem je zajistit, aby finanční instituce byly schopny odolávat, reagovat a zotavit se z všech typů narušení a hrozeb souvisejících s informačními a komunikačními technologiemi (ICT).
Na koho se vztahuje
DORA se vztahuje na širokou škálu finančních subjektů, včetně:
- Bank
- Pojišťoven
- Investičních společností
- Poskytovatelů platebních služeb
- Správců alternativních investičních fondů
- Poskytovatelů služeb v oblasti kryptoaktiv
- Ratingových agentur
- Poskytovatele kritických ICT služeb pro finanční sektor.
Na koho se nevztahuje
- Správce alternativních investičních fondů podle čl. 3 odst. 2 směrnice 2011/61/EU
- Pojišťovny a zajišťovny podle článku 4 směrnice 2009/138/ES
- Instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, které dohromady nemají více než 15 účastníků
- Fyzické nebo právnické osoby vyňaté podle článků 2 a 3 směrnice 2014/65/EU
- Zprostředkovatele pojištění, zprostředkovatele zajištění a zprostředkovatele doplňkového pojištění, kteří jsou mikropodniky, malými nebo středními podniky
- Žirové instituce poštovních úřadů podle čl. 2 odst. 5 bodu 3 směrnice 2013/36/EU
Hlavní požadavky
DORA stanovuje požadavky v několika klíčových oblastech:
1. Řízení ICT rizik: DORA vyžaduje, aby finanční instituce zavedly komplexní rámec pro řízení rizik ICT, včetně pravidelného hodnocení rizik a implementace odpovídajících bezpečnostních opatření.
2. Hlášení incidentů: Instituce musí zavést procesy pro detekci, klasifikaci a hlášení významných incidentů souvisejících s ICT příslušným orgánům.
3. Testování digitální odolnosti: DORA zavádí požadavek na pravidelné testování odolnosti ICT systémů, včetně penetračních testů a simulací kybernetických útoků.
4. Řízení rizik třetích stran: Finanční instituce musí pečlivě posuzovat a monitorovat rizika spojená s poskytovateli ICT služeb a dalšími dodavateli.
5. Sdílení informací: DORA podporuje sdílení informací o kybernetických hrozbách mezi finančními institucemi a regulačními orgány.
Kdy začne platit
Nařízení DORA vstoupilo v platnost 16. ledna 2023. Finanční instituce a další dotčené subjekty budou mít 24 měsíců na implementaci požadavků, tedy do 17.ledna 2025. V lednu 2025 by měly mít všechny opatření aplikovány a vyzkoušeny a také by měly být schopni prokázat, že naplňují nařízení DORA (shoda s DOROU).
Význam pro finanční sektor
DORA představuje významný krok k harmonizaci a posílení kybernetické bezpečnosti v evropském finančním sektoru. Zavádí jednotný soubor pravidel pro řízení digitálních rizik, což má vést k větší odolnosti finančního systému jako celku.
Vztah k jiným předpisům
DORA doplňuje a v některých případech nahrazuje stávající regulace v oblasti kybernetické bezpečnosti pro finanční sektor. Je úzce propojena s dalšími předpisy EU, jako je GDPR nebo směrnice NIS2.
Dozorové orgány
Dohled nad dodržováním nařízení DORA budou vykonávat příslušné finanční regulační orgány v jednotlivých členských státech EU. V České republice to bude především Česká národní banka.